EnableICMPRedirect | Wenn Routing und RAS (RRAS) als ASBR-Router (Autonomous System Boundary Router) konfiguriert ist, werden die verbundenen Schnittstellen-Subnetzrouten nicht ordnungsgemäß importiert. Stattdessen führt dieser Router Hostrouten in die OSPF-Routen (Open Shortest Path First) ein. Da der OSPF-Router nicht als ASBR-Router verwendet werden kann, führt das Importieren von verbundenen Schnittstellen-Subnetzrouten in OSPF zu einem Durcheinander in den Routingtabellen aufgrund von unbekannten Routingpfaden. | ICMP-Umleitungen (Internet Control Message Protocol) führen dazu, dass der Stapel Hostrouten verbindet. Diese Routen überschreiben die OSPF-generierten Routen.
Dieses Verhalten selbst ist ein vorausgesetztes Verhalten. Das Problem ist, dass der zehnminütige Timeout-Zeitraum für die von der ICMP-Umleitung verbundene Route eine Lücke für das betreffende Netzwerk erstellt. |
SynAttackProtect | Dieser Registrierungswert zwingt das TCP-Protokoll zur Anpassung der Umleitung von SYN-ACKs. Wenn Sie diesen Wert konfigurieren, wird die Verbindungsantwort im Falle eines SYN-Angriffs schneller beendet. Dieser Wert fügt den Verbindungen zusätzliche Verzögerungen hinzu und die TCP-Verbindung fordert während eines Angriffs ein schnelles Beenden an. Wenn Sie diesen Wert konfigurieren, können die auf jedem Adapter konfigurierten, skalierbaren Fenster- und TCP-Parameter (einschließlich der Socket-Optionen für die anfängliche RTT (Round Trip Time) und die Fenstergröße) nicht mehr ausgeführt werden. | Bei einem Überschwemmungsangriff mit SYN-Datenpaketen sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halb-offene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann. |
EnableDeadGWDetect | Wenn die inaktive Gatewayerkennung aktiviert ist, kann TCP das IP-Protokoll auffordern, einen Sicherungsgateway zu verwenden, wenn eine Reihe von Verbindungen Probleme aufweisen. Wenn diese Einstellung auf 0 gesetzt ist, erkennt Windows keine inaktiven Gateways mehr und wechselt automatisch zu alternativen Gateways. | Ein Angreifer kann einen Server zwingen, die Gateways potenziell zu einem unbeabsichtigten Gateway zu wechseln. |
EnablePMTUDiscovery | Wenn Sie EnablePMTUDiscovery auf 1 setzen, versucht TCP entweder die MTU (Maximum Transmission Unit), oder die größte Paketgröße über den Pfad zu einem Remote-Host zu suchen. TCP kann die Fragmentierung bei Routern entlang des Pfads beseitigen, der Netzwerke mit unterschiedlichen MTUs verbindet. Dazu sucht TCP die Pfad-MTU und begrenzt die TCP-Segmente auf diese Größe.
Die Fragmentierung wirkt sich negativ auf den TCP-Durchsatz aus. Wenn dieser Wert auf 0 gesetzt ist, wird eine MTU von 576 Byte für alle Verbindungen verwendet, die keine Hosts in dem lokalen Subnetz sind. | Wenn Sie diesen Wert nicht auf 0 setzen, kann ein Angreifer die MTU auf einen sehr kleinen Wert setzen und den Stapel überlasten, indem er den Server zwingt, eine große Anzahl von Paketen zu verarbeiten. |
KeepAliveTime | Dieser Wert steuert die Anzahl der TCP-Versuche zur Überprüfung, ob eine Leerlaufverbindung immer noch besteht, indem ein Keep-Alive-Paket gesendet wird. Wenn der Remotecomputer immer noch erreichbar ist, bestätigt er das Keep-Alive-Paket.
Die Keep-Alive-Pakete werden nicht standardmäßig gesendet. Sie können zur Konfiguration dieses Werts auf einer Verbindung ein Programm verwenden. Das Verringern dieses Werts von dem Standardwert von 2 Stunden auf 5 Minuten bedeutet, dass inaktive Sitzungen schneller getrennt werden. | Ein Angreifer, der sich mit Netzwerkanwendungen verbinden kann, ist in der Lage einen DoS-Zustand zu verursachen, indem er eine Vielzahl von Verbindungen aufbaut. |
DisableIPSourceRouting | Das IP-Quellrouting ermöglicht dem Sender das Bestimmen der IP-Route, die ein Datagramm über das Netzwerk nehmen soll. Das Setzen dieses Wertes auf 2 verursacht, dass alle eingehenden über die Quelle gerouteten Pakete fallengelassen werden. | Ein Angreifer verwendet über Quellrouting gesendete Pakete, um deren Identität und Speicherort zu verschleiern. Das Quellrouting ermöglicht einem Computer das Senden eines Pakets, um die von dem Paket verwendete Route festzulegen. |
TCPMaxConnectResponseRetransmissions | Dieser Parameter steuert, wie häufig ein SYN-ACK als Antwort auf eine Verbindungsanforderung zurückgesendet wird, wenn SYN nicht bestätigt wird.
Wenn dieser Wert größer oder gleich 2 ist, wendet der Stapel einen internen Schutz vor SYN-Angriffen an. Wenn dieser Wert kleiner als 2 ist, liest der Stapel die Registrierungswerte für den Schutz vor SYN-Angriffen überhaupt nicht. Dieser Parameter verkürzt die Standardzeit, die für das Säubern einer halb-offenen TCP-Verbindung benötigt wird. Wenn ein Standort vielen Angriffen ausgesetzt ist, kann dieser Wert auf 1 gesetzt werden. Ein Wert von 0 ist ebenfalls gültig. Wird dieser Parameter jedoch auf 0 gesetzt, werden SYN-ACKs überhaupt nicht zurückgesendet und nach 3 Sekunden beendet. Mit diesem niedrigen Wert können legitime Verbindungsversuche von Remoteclients fehlschlagen. | Bei einem SYN-Flood-Angriff sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halb-offene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann. |
TCPMaxDataRetransmissions | TCP startet eine Zeitgeber für das Zurücksenden, wenn jedes ausgehende Segment an das IP-Protokoll übergeben wurde. Wenn für die Daten in einem bestimmten Segment keine Bestätigung empfangen wurde, bevor der Zeitgeber abläuft, wird das Segment bis zu drei Mal zurückgesendet. | Bei einem SYN-Flood-Angriff sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halb-offene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann. |
PerformRouterDiscovery | Dieser Wert wird gesetzt, um das automatische Erkennen und Konfigurieren von Standard-Gatewayadressen auf dem Computer unter Windows 2000 (unterstützt das Internet Router Discovery-Protokoll, IRDP) zu deaktivieren. | Ein Angreifer, der die Kontrolle über ein System im gleichen Netzwerksegment erlangt hat, kann einen Computer im Netzwerk so einrichten, dass dieser die Identität eines Routers annimmt.
Andere Computer mit aktiviertem IRDP versuchen dann ihren Verkehr über das bereits beschädigte System zu routen. |
TCPMaxPortsExhausted | Dieser Parameter steuert den Zeitpunkt, an dem der Schutz vor SYN-Angriffen gestartet wird. Der Schutz vor SYN-Angriffen startet, wenn die Verbindungsanforderungen TCPMaxPortsExhausted vom System zurückgewiesen wurden, weil der verfügbare Rückstand für Verbindungen auf 0 gesetzt ist. Dies hat nur geringe Auswirkungen auf die Server oder Systeme, die versuchen, dies auf legitime Weise zu verwenden. | Bei einem SYN-Flood-Angriff sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halb-offene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann. |
AFD-Einstellungen: DynamicBacklogGrowthDelta EnableDynamicBacklog
MinimumDynamicBacklog MaximumDynamicBacklog | Die Verbindungsversuche von Windows Sockets-Anwendungen wie FTP-Servern und Webservern werden von Afd.sys verarbeitet. Afd.sys wurde geändert, um zahlreiche halb-offene Verbindungen zu unterstützen, ohne gültigen Clients den Zugriff zu verweigern.
Zu diesem Zweck wird dem Administrator die Konfiguration eines dynamischen Protokolls ermöglicht.
DynamicBacklogGrowthDelta steuert die Anzahl der zu erstellenden freien Verbindungen, wenn zusätzliche Verbindungen notwendig sind. Bei der Verwendung dieses Werts ist Vorsicht geboten, da ein hoher Wert zu sprunghaft ansteigenden freien Verbindungszuordnungen führen kann. | Bei einem SYN-Flood-Angriff sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halb-offene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann. |
